Для начала покопа­емся в ана­лити­чес­ких отче­тах, опе­риру­ющих TTP, за пос­ледние нес­коль­ко лет. В качес­тве наибо­лее авто­ритет­ных репор­тов мы будем исполь­зовать матери­алы от Red Canary, Trellix, Picus Labs и дру­гих Брай­анов Креб­сов извес­тных на рын­ке ИБ ком­паний, в том чис­ле рос­сий­ских. Нач­нем с 2019 года, для которо­го, прав­да, дос­тупен толь­ко один свод­ный отчет — «Threat detection report. First edition | 2019» от Red Canary. Но с каж­дым годом авто­ритет­ных источни­ков ста­нови­лось все боль­ше, за 2022 год име­ется с десяток пуб­личных репор­тов.

Как определялся рейтинг

Пер­вый момент, который пот­ребу­ется учесть: в боль­шинс­тве ана­лити­чес­ких отче­тов уже исполь­зуют­ся агре­гиро­ван­ные показа­тели, которые нуж­но кор­рек­тно сопос­тавлять меж­ду собой. Мы под­счи­таем занима­емые той или иной тех­никой позиции в име­ющих­ся рей­тин­гах. Если мес­та заняты суб­техни­ками, то в рас­чете учтем ту тех­нику, с которой она ассо­цииро­вана.

Нап­ример, тех­ника T1059 Command and Scripting Interpreter за 2022 год триж­ды занима­ла пер­вое мес­то, по одно­му разу вто­рое, третье и девятое мес­та. В ито­ге она воз­гла­вила топ 2022 года.

Ес­ли тебе инте­рес­на тех­ничес­кая сто­рона воп­роса, пояс­ню: мас­сив вход­ных дан­ных из раз­личных отче­тов фор­мировал­ся в руч­ном режиме (соз­давал­ся еди­ный CSV-файл), а уже таб­личные дан­ные ана­лизи­рова­лись с исполь­зовани­ем биб­лиоте­ки Pandas для Python.

Динамика с 2019-го по 2022 год включительно

2019 год

На­чать сто­ит с того, что клю­чевая проб­лема здесь не толь­ко в нич­тожной выбор­ке из единс­твен­ного отче­та, но и в изме­нении MITRE ATT&CK за это вре­мя. Дело в том, что, как любой «живой» про­ект, мат­рица пос­тоян­но обновля­ется и с 2019 года сме­нила не одну вер­сию. В резуль­тате мне приш­лось руками перема­пить «ста­рые» тех­ники в «новые», а это в том чис­ле пов­лияло на сок­ращение рей­тин­га с десяти позиций до вось­ми. Нам инте­ресен этот топ­чик в пер­вую оче­редь как отправ­ная точ­ка для даль­нейших иссле­дова­ний. Итак, самые популяр­ные тех­ники 2019 года:

1. T1059 Command and Scripting Interpreter;
   


2. T1218 System Binary Proxy Execution;
   


3. T1090 Proxy;
   


4. T0865 Spearphishing Attachment;
   


5. T1036 Masquerading;
   


6. T1003 OS Credential Dumping;
   


7. T1547 Boot or Logon Autostart Execution;
   


8. T1569 System Services.
   

На что здесь сто­ит обра­тить вни­мание, так это на тех­нику T0865 Spearphishing Attachment, которая была популяр­на у край­не активных на тот момент груп­пировок Carbanak и FIN7, а так­же в рам­ках дру­гих целевых кам­паний, доля которых, по мне­нию ряда иссле­дова­телей, в 2019 году ста­ла пре­вали­рующей. В пос­леду­ющие годы эта тех­ника так­же будет при­сутс­тво­вать на радарах, но уже за пре­дела­ми агре­гиро­ван­ных топ-10.

2020 год

На сле­дующий год хит‑парад нем­ного изме­нил­ся:

1. T1055 Process Injection;
   


2. T1574 Hijack Execution Flow;
   


3. T1059 Command and Scripting Interpreter;
   


4. T1053 Scheduled Task/Job;
   


5. T1562 Impair Defenses;
   


6. T1134 Access Token Manipulation;
   


7. T1021 Remote Services;
   


8. T1003 OS Credential Dumping;
   


9. T1036 Masquerading;
   


10. T1083 File and Directory Discovery.
    

Здесь, как и в 2019 году, приш­лось учесть вер­сион­ность мат­рицы ATT&CK, но в мень­шем объ­еме.

Это пер­вый год пан­демии корона­виру­са и, как следс­твие, рос­та популяр­ности уда­лен­ной работы. В резуль­тате сре­ди лидеров появи­лась тех­ника T1021 Remote Services. Из осталь­ных тех­ник инте­рес пред­став­ляет T1574 Hijack Execution Flow, которая чаще все­го исполь­зует­ся в сочета­нии c тех­никами T1055 Process Injection и T1053 Scheduled Task/Job, что и под­твержда­ется нашим рей­тин­гом.

2021 год

Рей­тинг 2021 года выг­лядит сле­дующим обра­зом:

1. T1059 Command and Scripting Interpreter;
   


2. T1027 Obfuscated Files or Information;
   


3. T1218 System Binary Proxy Execution;
   


4. T1055 Process Injection;
   


5. T1555 Credentials from Password Stores;
   


6. T1543 Create or Modify System Process;
   


7. T1083 File and Directory Discovery;
   


8. T1486 Data Encrypted for Impact;
   


9. T1053 Scheduled Task/Job;
   


10. T1547 Boot or Logon Autostart Execution.
    

Вор­вавша­яся в топ тех­ника T1486 Data Encrypted for Impact отра­жает то рекор­дное количес­тво кибера­так с исполь­зовани­ем прог­рамм‑шиф­роваль­щиков, которое было зафик­сирова­но в 2021 году. Свою роль сыг­рала и популя­риза­ция схе­мы «Шиф­роваль­щик как услу­га» (Ransomware as a Service, RaaS) на при­мере сле­дующих вре­донос­ных прог­рамм:

• 
  Conti;
  


• 
  REvil;
  


• 
  Avaddon.
  

Из инте­рес­ного здесь сле­дует отме­тить тех­нику T1555 Credentials from Password Stores, исполь­зован­ную в одной из самых нашумев­ших кибера­так на цепоч­ку пос­тавок SolarWinds.

2022 год

В 2022 году пред­став­лен рас­ширен­ный топ-20, пос­коль­ку это самый инте­рес­ный для нас год и дан­ных было дос­таточ­но для сос­тавле­ния раз­верну­того рей­тин­га.

1. T1059 Command and Scripting Interpreter;
   


2. T1082 System Information Discovery;
   


3. T1036 Masquerading;
   


4. T1003 OS Credential Dumping;
   


5. T1071 Application Layer Protocol;
   


6. T1218 System Binary Proxy Execution;
   


7. T1083 File and Directory Discovery;
   


8. T1588 Obtain Capabilities;
   


9. T1047 Windows Management Instrumentation;
   


10. T1486 Data Encrypted for Impact;
    


11. T1190 Exploit Public-Facing Application;
    


12. T1566 Phishing;
    


13. T1055 Process Injection;
    


14. T1021 Remote Services;
    


15. T1098 Account Manipulation;
    


16. T1105 Ingress Tool Transfer;
    


17. T1110 Brute Force;
    


18. T1547 Boot or Logon Autostart Execution;
    


19. T1112 Modify Registry;
    


20. T1505 Server Software Component.
    

Здесь есть как уже зна­комые нам «лица», так и нович­ки. Нап­ример, на вто­ром мес­те тех­ника T1082 System Information Discovery, которая поз­воля­ет ата­кующе­му не толь­ко гра­мот­но раз­вить кибера­таку, но и соб­рать дан­ные на будущее, что не может не нас­торажи­вать.

От­метим тех­нику T1190 Exploit Public-Facing Application, заняв­шую 11-е мес­то, но лидиру­ющую на ста­дии Initial Access в 2022-м.

Те­перь мож­но пос­мотреть динами­ку изме­нений в топ-10 за четыре года на условной теп­ловой кар­те, где более «горячие» тех­ники — это соот­ветс­тву­ющие лидеры.